23 Kasım – 1 Aralık Siber Güvenlik Haberleri

Bu yazıda 23 Kasım – 1 Aralık tarihleri arasında rastladığımız ve önemli olabilecek saldırı, zafiyet ve ilginç haberleri bulabilirsiniz.



  • TikTok, belirli hesaplardaki şifreleri sıfırlamasına izin veren bir XSS ve CSRF güvenlik açığını keşfettiği için bir araştırmacıya, 4.000$ ödül verdi. Bug hunterlar için motive edici bir rakam!

  • Ücretsiz, açık kaynaklı bir içerik yönetim sistemi ya da içerik yönetim’e odaklı bir altyapı yazılımı (content management system) olan Drupal, sistemin tamamen ele geçirilmesine yol açabilecek çok sayıda kritik güvenlik açığı için güncellemeler yayınladı. Zafiyet, Drupal 7, 8.8 ve öncesi, 8.9 ve 9.0 versiyonlarını etkiliyor. Kritik olarak sınıflandırılan zafiyet detayları ve güncellemelere https://www.drupal.org/sa-core-2020-013 linkinden erişilebiliyor.

  • Baltimore okulları yine fidye yazılımı tarafından durduruldu. Her şeyi tekrar çevrimiçi hale getirmenin haftalar alabileceğini söylüyorlar, ancak günler içinde derslere geri dönmeyi planlıyorlar. Pandemi nedeniyle online ders işleyen 115.000 öğrencinin bu derslere katılımını saldırı hakkında detaylı bilgi olmamakla birlikte bir fidye yazılımı saldırısı olduğu biliniyor.

    Fidye yazılımı saldırıları ile ilgili daha detaylı bilgi almak isterseniz bilmeniz gereken her şey https://sparta.com.tr/fidye-yazilimi-hakkinda-bilinmesi-gereken-her-sey/ linkinde toplandı.

  • İngiliz hükümeti, Eylül 2021’den sonra Kablosuz taşıyıcıların 5G ağlarına yeni Huawei ekipmanlarının kurulumunu yasaklayacak. Amerika Birleşik Devletleri ise İngiltere’nin 5G ağından Çin’in Huawei telekom devinin ekipmanlarını yasaklama kararını alkışladığını açıkladı.

  • Cisco güvenlik birimi Talos, WebKit tarayıcı motorunda, özel olarak hazırlanmış web siteleri aracılığıyla uzaktan kod yürütmek için de yararlanılabilecek yüksek önem seviyesinde zafiyetler bulunduğunu açıkladı.

    WebKit, Apple tarafından geliştirilen ve öncelikli olarak Safari web tarayıcısında ve tüm iOS web tarayıcılarında kullanılan bir web tarayıcı motoru. Ayrıca BlackBerry Tarayıcısı, PS3’ten itibaren PlayStation konsolları, Tizen mobil işletim sistemleri ve Amazon Kindle e-kitap okuyucu ile birlikte gelen bir tarayıcı tarafından da kullanılmakta. (Güvenlik bildirisine https://webkitgtk.org/security/WSA-2020-0008.html linkinden erişilebilir.)

  • Delaware County, Pennsylvania, geçen hafta sonu bir DoppelPaymer fidye yazılımı saldırısının kurbanı olduktan sonra 500.000$ fidye ödemeyi kabul etti. Güney Koreli web sağlayıcısı Nayana 1.000.000$ fidye ödemesi ile hala birinciliği koruyor.

  • İtalyada bir siber suç örgütü, black box saldırı tekniğiyle en az 35 İtalyan ATM’sinden 7 ay içinde toplamda 800.000EUR para çaldı. Blackbox (Kara kutu) saldırıları, ATM’yi “kara kutu” aygıtı aracılığıyla bir komut göndererek nakit dağıtmaya zorlamayı amaçlayan bir tür saldırıdır. Bu saldırı tipi ile ilgili çekilmiş bir videoya https://www.youtube.com/watch?v=ksEmXuV324I&feature=youtu.be linkinden erişebilirsiniz.

  • Gerçek Zamanlı Otomasyonun (RTA – Real Time Automation) 499ES EtherNet / IP yığınında endüstriyel kontrol sistemlerini hacklemeye izin verebilecek kritik bir zafiyet bulundu. CVE-2020-25159 olarak izlenen zafiyet, 10 üzerinden 9.8 CVSS skoru ile “kritik” seviyede ve 21 Kasım 2020’de yayınlanan versiyon 2.28’den önceki tüm EtherNet / IP Adaptör Kaynak Kodu Yığını (Adapter Source Code Stack) sürümlerini etkiliyor.

  • Ekim ayının sonunda, Fransız IT destek hizmet sağlayıcı Sopra Steria bir fidye yazılımı saldırısına uğradı. Şirket, sistemlerine bulaşan zararlı yazılım ailesini açıklamazken, Ryuk fidye yazılımı olduğu düşünülüyor. Avrupa BT firmasının dünya çapında 25 ülkede faaliyet gösteren 46.000 çalışanı var ve yazılım geliştirme ve danışmanlık dahil olmak üzere çok çeşitli BT hizmetleri sağlıyor. Sopra Steria, fidye yazılımı saldırısının 40 milyon ile 50 milyon EURO arasında değişen bir finansal etkiye sahip olacağını tahmin ediyor.

  • IIoT chip üreticisi Advantech, Conti fidye yazılımı saldırısına uğradı. 13 milyon dolardan fazla fidye talep ediliyor.

    Conti fidye yazılımı, endüstriyel otomasyon ve endüstriyel IoT (IIoT) chip üreticisi Advantech sistemlerini etkiledi. Çalınan dosyaların sızmasını önlemek ve şifrelenmiş dosyaları geri yüklemek için vereceklerini iddia ettikleri şifre için 13 milyon dolardan fazla fidye (yaklaşık 750 BTC) talep ediyor.

  • ABD’deki küçük ve orta ölçekli işletmelerden Office 365 kimlik bilgilerini çalmaya yönelik yeni ve gelişmiş bir kimlik avı (oltalama) saldırısı gözlemleniyor. Bu saldırıların uluslararası gerçekleştirilmeye başlanması da çok uzun sürmediğinden dikkatli olmak ve kullanıcıları uyarmak gerekiyor. Yasal web sayfalarına eklenen linklerin kullanılması ile yasal görünen ancak saldırganlar tarafından hazırlanmış web sayfalarına yönlendirilen kişilerin kimlik bilgileri çalınıyor.

  • Yüzlerce üst düzey (C-level) yöneticinin e-posta hesaplarına erişim Exploit.in’de hesap başına 100 ila 1500 ABD Doları arasında satılıyor. Exploit.in, Rusça konuşan siber saldırganlar için popüler bir kapalı erişimli forum (fuckav.ru, Blackhacker, Omerta ve L33t gibi başka örnekleri de mevcut). Özellikle BEC saldırılarında kullanılan bu e-posta hesapları kuruluşlar için büyük tehlike yaratıyor. Özellikle üst düzey yöneticileri kullanarak hazırlanan BEC (Business Email Compromise) saldırıları ile ilgili daha detaylı bilgiye https://www.slideshare.net/SpartaBilisim/business-email-compromise-bec-nedir linkinde yer alan slidelardan ulaşabilirsiniz. Bir benzeri olan ancak iş süreçlerinin ele geçirilmesi ile gerçekleştirilen BPC (Business Process Compromise) saldırıları ile ilgili bilgi almak isterseniz https://www.slideshare.net/SpartaBilisim/srelerinin-ele-geirilmesi-business-process-compromise-nedir linkini de ziyaret edebilirsiniz.

  • Reuters tarafından yayınlanan bir rapora göre, Kuzey Kore bağlantılı olduğundan şüphelenilen siber saldırganlar, COVID aşısı geliştiren şirketlerden biri olan AstraZeneca‘yı hedef aldı. Saldırganların, AstraZeneca çalışanlarına sahte iş teklifleriyle yaklaşmak için, LinkedIn ve WhatsApp gibi uygulamalarda kendilerini işe alım görevlisi olarak göstererek bilinen bir oltalama saldırısı yöntemi kullandığı belirtiliyor. Gönderdikleri dokümanların açılması sonucu kurbanın bilgisayarına sızmayı hedefleyen bu saldırıların başarılı olamadığı belirtilmiş.

  • CVE-2018-13379 olarak izlenen ve yaklaşık 50.000 Fortinet VPN cihazından VPN kimlik bilgilerini çalmak için kullanılabilecek tek satırlık bir istismar kodu yayınlandı. Bu güvenlik açığı, SSL VPN web portalda Fortinet FortiOS 6.0.0 – 6.0.4, 5.6.3 – 5.6.7 ve 5.4.6 – 5.4.12’de bir kısıtlanmış dizine (“Path Traversal”) yönelik bir yol adının (pathname) uygunsuz bir şekilde sınırlandırılmasına dayanır. Kimliği doğrulanmamış bir saldırganın, özel hazırlanmış HTTP kaynak istekleri aracılığıyla sistem dosyalarını indirmesine izin verir. NIST NVD’ye göre, zafiyetin CVSS puanı 9,8 – KRİTİK.

  • Siber güvenlik firması Sophos, müşterilerini bir güvenlik ihlali yaşadığı hakkında e-posta yoluyla bilgilendirdi. Şirketin 24 Kasım’da olaydan haberdar olduğu öğrenildi. 24 Kasım 2020’de Sophos’a, Sophos Destek ile iletişime geçen müşterilerle ilgili bilgileri depolamak için kullanılan bir araçta bir erişim izni sorunu olduğu bildirildi. Şirkete göre, ifşa edilen bilgiler müşterinin adını ve soyadını, e-posta adreslerini ve telefon numaralarını içeriyordu.

  • Perakende devi Home Depot, şirketin 2014 yılında uğradığı veri ihlaline ilişkin çok devletli bir soruşturmada 17,5 milyon dolarlık bir anlaşmayı kabul etti. Home Depot’un 2014 yılında yaşadığı veri ihlalinden ABD ve Kanada’da 56 milyon müşterisi etkilenmiş, ülke çapında yaklaşık 40 milyon Home Depot tüketicisinin kredi kartı bilgileri çalınmıştı.

  • cPanel‘de iki faktörlü kimlik doğrulamayı (2FA) atlamak için kullanılabilecek önemli bir zafiyet bulundu ve sorunun on milyonlarca web sitesinin hacklenmesine neden olabileceği belirtildi. Unix tabanlı sistemlerde çalışan geniş bir kullanım oranına sahip bir kontrol paneli olan cPanel’de yer alan zafiyet nedeniyle saldırganların  cPanel hesapları için iki faktörlü kimlik doğrulamayı (2FA) atlatabileceği ve bu zafiyetten yararlanarak ilişkili web sitelerini yönetmeye kadar gidebileceği belirtildi. Web sitesi yöneticilerinin hosting sağlayıcılarının cPanel kurulumunu güncelleyip güncellemediğini kontrol etmesi için acil bir çağrı yapıldı.

  • Çin menşeili popüler bir arama motoru olan Baiduya ait Baidu Maps ve Baidu Search Box Android uygulamalarının Play Store’dan kaldırıldığı duyuruldu. Baidu’nun izinsiz şekilde kullanıcı verilerini topladığı belirtildi.

  • Linux sunucularını hedef alan bir reklam yazılımı (adware) ve madeni para madencisi (coin-miner) botnetinin yeni bir türü tespit edildi. Stantinko adı verilen botnet ilk kez 2017 yılında, dünya çapında yaklaşık yarım milyon bilgisayara bulaştığı sırada ESET tarafından tespit edilmişti.

    Intezer tarafından yayınlanan yeni bir analize göre, Linux truva atı, Linux sunucularında yaygın olarak kullanılan httpd olarak maskelenmiş. Analizin detaylarını merak ediyorsanız https://www.intezer.com/blog/research/stantinkos-proxy-after-your-apache-server/ linkinden inceleyebilirsiniz.

  • Microsoft, CVE-2020-17049 olarak izlenen yakın zamanda yamalanmış bir Kerberos güvenlik açığıyla ilgili Windows’ta kimlik doğrulama sorunlarını gidermek için bir güncelleme yayınladı. Zafiyet detayları ve güncelleme için https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17049 linkini ziyaret edebilirsiniz.

  • 380 milyon oturum açma kimlik bilgisinden oluşan bir veritabanı kullanılarak Spotify hesaplarını ele geçirmeyi hedefleyen olası bir kinlik avı kampanyasını ortaya çıkartıldı. 350.000 civarında kullanıcının saldırıdan etkilendiği düşünülüyor. Spotify parolanızı değiştirmenin ve aynı parolayı kullandığınız farklı hesaplarınız varsa hemen harekete geçmenin tam zamanı.

  • VMware, birden çok VMware Workspace One bileşenini etkileyen, CVE-2020-4006 olarak izlenen kritik bir sıfırıncı gün güvenlik açığını gidermek üzere “geçici çözüm” yayınladı. Bu zafiyet, saldırganlar tarafından ana bilgisayar Linux ve Windows işletim sistemlerinde yükseltilmiş yetkiler kullanarak komut yürütmek için kullanılabiliyor. Etkilenen sürümler ve güncelleme detaylarına https://www.vmware.com/security/advisories/VMSA-2020-0027.html linkinden erişilebilir.

  • VMware geçen hafta SD-WAN Orchestrator ürününde altı güvenlik açığını (CVE-2020-3984, CVE-2020-3985, CVE-2020-4000, CVE-2020-4001, CVE-2020-4002, CVE-2020-4003) ele aldı. Bunlar, saldırgan tarafından trafiği ele geçirmek veya bir kurumsal ağı kapatmak için kullanılabilecek zafiyetleri de içeriyor. Etkilenen sürümler ve güncelleme detaylarına https://www.vmware.com/security/advisories/VMSA-2020-0025.html linkinden erişilebiliyor.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*